『ソニーの個人情報漏えい事件に学ぶ（KDL NOW! 2011.05.13号）』

■漏洩件数は「1億件超」に！

　ITメディアニュースが整理した、ソニーの個人情報漏えい事件を
　時系列順に見てみましょう。以下に、主なものを抜粋します。
　http://www.itmedia.co.jp/news/articles/1105/06/news052.html

　・4月27日（米国時間26日）、
　　ソニーとソニー・コンピュータエンタテインメント（SCE）は、
　　プレイステーションネットワーク（PSN）から約7700万人分の個人情報と
　　クレジットカード番号が流出した可能性を発表。

　・5月1日
　　SCE社長を兼任するソニーの平井一夫副社長が本社で会見して謝罪。
　　脆弱性を突かれたのが原因だと明らかにし、ハッカーが正常な動作として
　　侵入したので検知できなかったと説明。

　・5月2日（米国時間1日）
　　米Sony Online Entertainment（SOE）のシステムへのハッカー侵入と
　　最大2460万アカウントの個人情報の流出可能性が判明。

　・5月3日
　　SOEからの個人情報流出の可能性をソニーが公表。　

　この２つの事件での個人情報漏えい件数は、なんと計1億件超に及びます。
　

■子会社のサイトからも2500件の個人情報が流出

　さらに、5月7日になって、ソニーは米国子会社ソニー・エレクトロニクスの
　ウェブサイト上でも個人情報が漏えいしていたことを発表しました。

　2001年に実施した懸賞キャンペーンに応募した2500人分の顧客の
　氏名と住所の一部（このうち3件はメールアドレスも含む）が、
　同社のサイト上に誰でもみられる状態にさらされていたようです。
　
　http://jp.reuters.com/article/topNews/idJPJAPAN-20968320110507

■PSN情報漏えいの原因は「脆弱性への未対処」

　5月1日の記者会見で、ソニーの業務執行役員・長谷島眞時氏は、　
　PSNネットワークの脆弱性が「わかっていて（システムを）更新できなかった
　のではなく、脆弱性に対処していなかった」と述べています。

　巨大なネットワークを運営しているにもかかわらず、
　脆弱性の認識が至らず、対処できていなかったことが原因だと言えます。

　http://www.yomiuri.co.jp/net/security/goshinjyutsu/20110502-OYT8T00649.htm

■Sony Electronics情報漏えいの原因は「人為的ミス」

　Sony Electronicsの情報漏えい事件に関して、
　ソニーは「古いサーバから新しいサーバに移行するとき、古いサーバに
　個人情報が残ったままだった」（広報センター）と説明しています。

　これはデータの削除ミスという「人為的ミス」が原因であったと
　言うことができます。

　http://www.sankeibiz.jp/business/news/110507/bsj1105071335003-n1.htm

■ソニーの個人情報漏えい事件に学ぶセキュリティ対策

　人為的ミスが原因による情報漏えいの事例は、
　実は国内でも多数発生しています。

　例えば、業務を委託しているシステム管理会社等の設定ミスで、
　個人情報が閲覧可能であった事例がありました。

　このような場合に対処するためには、社内のシステム管理部門や
　社外のシステム管理会社に対して一定のセキュリティルールに従って
　運用する必要があります。

　安全な運用の規約となるセキュリティ運用ルールを予め設けて、
　それに沿って、社内部門の教育を行ったり、社外のシステム管理会社に
　委託する際の要件として定めなければなりません。

　脆弱性については、日々変化する攻撃に対して、充分と言える対策が
　取りにくいのが実情ですが、企業として一定のレベルを担保するために
　「『情報システムの信頼性向上のための取引慣行・契約に関する研究会』
　報告書-モデル取引・契約書<追補版>-」のセキュリティチェックリスト
　を使用する方法もありますので、検討してみては如何でしょうか？

　http://www.proactivedefense.jp/Service/Standard02

　※ご不明点・ご相談等は、info@proactivedefense.jp　まで。

※弊社メールマガジン『KDL NOW!』のセキュリティコーナーのみ抜粋して掲載しております。
KDL NOW!の全文は こちら をご覧ください。